My Servers Plugin Angriffsrisiko aufgrund Portfreigabe Internet?


Rockikone

Recommended Posts

Guten Morgen,

da ich auch immer wieder gerne mit Unraid spiele, habe ich nun das My Servers Plugin installiert und eingerichtet.

Soweit funktioniert alles. Bis jetzt war mein (Grund) Server aus dem Internet nicht erreichtbar. Docker wie Plex, Nextcloud, Bitwarden etc über Nginx Proxy Manager per verschiedener DNS jedoch schon.

Für das Plugin muss man ja den Port 443 auf den Unraid weiterleiten, um das Plugin voll ausreizen zu können. Ich habe nun in meinem Router eine Portweiterleitung von 4433 auf 443 (Unraid) eingestellt und es funktioniert soweit.

Wenn jemand meine WAN IP und den Port kennt, kommt er also bis zur Anmeldemaske von Unraid aus dem Internet. Der User ist auch klar "root".

Als einziger Schutz dient somit im Moment ein gutes Passwort. Finde ich ein wenig mager und evtl gefährlich. Wie sieht ihr das?

 

Danke für evtl Anregungen

 

Grüße aus Bayern

Link to comment
On 8/22/2021 at 11:19 AM, Rockikone said:

Als einziger Schutz dient somit im Moment ein gutes Passwort. Finde ich ein wenig mager und evtl gefährlich. Wie sieht ihr das?

Natürlich sollte man niemals eine root-fähige GUI über das Internet verfügbar machen. Meiner Ansicht nach gehört der Remote Access bei MyServers komplett abgeschafft. Unraid hatte bereits in der Vergangenheit eine Sicherheitslücke in der GUI und wer glaubt, dass das die letzte Lücke war, ist naiv. Es gibt auch seit Jahren nach wie vor den Bug, dass der Webserver abschmiert, wenn man auf einem PC die GUI offen lässt. Hatte ich erst die Tage wieder. Bestimmt lustig, wenn ein Angreifer den Grund dafür findet und weltweit Unraid Server blockiert.

 

Als langjähriger Web-Entwickler und nach Sichtung des GUI-Quelltextes, kann ich dir auch sagen, dass kein Hoster dieser Welt so etwas ins Internet stellen würde (Shell Scripte, PHP mit aktivem exec, vollständiger Root-Zugang, etc.).

 

Weiterhin gibt Limetech die folgenden Tipps:

  1. man soll ein komplexes Passwort nutzen
  2. man soll den öffentlichen Port "zufällig" wählen
  3. nicht mehr Ports als notwendig freischalten

 

Dazu kommt:

  1. die MyServer Domain ist zufällig

 

In der IT-Sicherheit nennt man sowas Security through Obscurity und das hat mit Sicherheit rein gar nichts zu tun. Schon gar nicht, wenn wie hier alle MyServer Domains und öffentlichen IPs zentral von unraid.net verwaltet werden. Die Sicherheit endet also sofort, wenn jemand den unraid.net  Server von Limetech hackt. Wenn der Angreifer dann noch so clever ist und alle aus dem Forum abmeldet, um sie zur wiederholten Eingabe ihres Passworts zu zwingen (um doppelt verwendete Passwörter anzutesten) oder vielleicht einfach ein Phishing-Attacke über die MyServer Domain startet, um den Server-Zugang direkt zu erhalten, dann wird es richtig lustig. Dann hilft übrigens auch kein 2FA im Forum, denn für den Login auf dem Server braucht es das nicht. Eine ähnlich gelagerte Attacke gab es bereits bei Ubiquiti.

 

Zuletzt sei auch angemerkt, dass es gar nichts bringt, dass die MyServer Domain zufällig ist, da durch die Port-Freigabe im Router, natürlich auch alle Zugriffe auf die öffentliche IP-Adresse des Internetanschlusses an den Unraid-Server weitergeleitet werden. Und da draußen sind tausende Bots unterwegs, die den ganzen Tag nach offenen Ports suchen, um mögliche Angriffsziele zu ermitteln. Die Tage haben Forscher zB 3,6 Millionen öffentliche erreichbare MySQL Server gefunden, wovon nicht einer öffentlich erreichbar sein sollte, weil man Datenbanken immer nur lokal nutzen sollte.

 

Fazit:

Wer unterwegs auf seine Unraid GUI zugreifen möchte, nutzt dafür bitte einen VPN und wer Backups von seinem Stick in einer Cloud haben möchte, der "baut" sich dafür bitte eine entsprechende Lösung.

  • Like 3
Link to comment

@mgutt

 

Danke für deine ausführliche Erläuterung. Im ganzen bestätigst du mir meine Meinung bzgl Sicherheit und dass man die Unraid Anmelde Gui nicht ins Netz stellen sollte. Ich habe das Plugin jetzt wieder deinstalliert. Ich komme ja jederzeit per Wireguard darauf. Der einzige Benefit ist die automatische Flash BackUP Sicherung.

Ohne kann ich auch gut leben 🙂

 

Grüße aus Bayern

Link to comment

Schön das es dazu einen Fred gibt :) ... Ich hatte mir die gleichen Fragen nämlich auch gestellt. Auch bezüglich der Sicherheit wenn die Konfigurationen meines Server hier auf den Limetech Servern liegen... Passt nicht zu dem was ich aktuell abarbeite... So wenig wie möglich an Daten ins Netz zu stellen und langsam einige Clouds und Services nicht mehr zu nutzen, die ich selber "hosten" kann. 

 

Ich sichere den Unraid stick über das CA Backup / Restore Appdata Plugin. Dann per rsync rüber auf die Synology. Klappt super.

  • Like 2
Link to comment
  • 11 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.